第三者が、物理的セキュリティ領域の奥まで入るサービスと入らないサービスには、どのような脅威がありますか?
「リスクグループ分析対策表」について質問があります。
第三者が、物理的セキュリティ領域の奥まで入るサービスと、
奥まで入らないサービスのそれぞれについて、
どのような脅威がありますか?
物理的セキュリティ領域の「奥まで入らない」と「奥まで入る」とは?
まず、物理的セキュリティ領域の「奥まで入らない」、「奥まで入る」の定義を明確にする必要があるかと思います。
組織の物理的な環境によってもことなりますが、以下のような考えのもと、説明させていただきます。
■「奥まで入らない」と「奥まで入る」の領域区分
「ISMS-A02-D03 適用範囲関連資料(見本).xls-フロア図」の「低レベル(受付スペースや打合せスペース)」と「中レベル、高レベル(作業スペース)」とを境として、「低レベル」までを「入らない」、「中レベル、高レベル」を「入る」とする。
「低レベル」では、公開情報(誰に見られてもOK)の資産しか置いておらず、「中レベル、高レベル」には、機密性の高い資産を置いているとする。
■「奥まで入らない」第三者と「奥まで入る」第三者とは?
ちなみに、「奥まで入らない」第三者とは、「保険外交員」、「ヤクルトレディ」、「営業マン」、「運送会社(荷物が軽い場合)」などが想定されます。
「奥まで入る」第三者は、「運送会社(荷物が重い場合)」、「機器(コピー機やサーバ)メンテ業者」、「ビルメンテ業者(清掃員)」、「電気・空調・防災関連の業者」などが想定されます。
それぞれの脅威とは?
上記を踏まえ、物理的な環境によっても異なりますが、以下の様な脅威が考えられます。
■「奥まで入らない」
- 物理的にドア・壁などで完全に隔離されており、無線LANや有線LANを使用できる環境にない場合
脅威 → この場合の脅威としては、「強引な不法侵入」などが考えられます。 - 物理的にドア・壁などで隔離されておらず、無線LANや有線LANを利用できる環境にある場合
脅威 → 不法侵入や盗難、盗聴、故意の損害などが考えられます。
■「奥まで入る」
脅威 → 盗難、盗聴、故意の損害、記録媒体の不正使用、通信サービス(ネットワークサービス)の障害など
物理的に隔離された環境で、「奥まで入らない」場合であれば、その時点で脅威に対する管理策が実施されていると同じであるため、先にあげた「強引な不法侵入」などしか考えられないと思います。
■その他、考えらる脅威とは?
なお、物理的に隔離されていない状態での「奥に入らない」場合や「奥に入る」場合であれば、先にあげた脅威の他、以下のような脅威も考えられます。
- ハードウェアの故障
- 盗み見
- 記憶媒体の不正使用
- 不正なユーザによるソフトウェアの使用
- 不正な方法でのソフトウェアの使用
- 悪意のあるソフトウェア
など…
補足情報
- ※脅威は、日々新しく発見されます。例えば、専門家や専門機関、関連サイトなどから、脅威に関連する情報を収集するようにしてください。
- ※脅威の例としては、「ISO27001認証取得支援ガイドブック」の「脅威の洗い出しと見直し」の項にある「GMITSによる脅威一覧」などが参考になるかと思います。
- ※GMITSとは「情報技術セキュリティ管理指針(Guidelines for the Management of IT Security)」の略称であり、「ISO/IEC TR 13335」のことです。現在、この規格は廃止され、ISO/IEC 27005「情報セキュリティリスク管理」に引き継がれており、 附属書にて脅威や脆弱性の「例」もいくつか記載されています。
- ※ISO27005は、ISO27001の要求を満たすため、ISO31000と整合性をとった実践的なガイダンスとなっています。(ISOマネジメントシステム規格のリスクマネジメントのプロセスは、ISO31000の原則を取り入れています。)
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
